Skip to main content

Twitter, zumindest, entging den Schrecken von Heartbleed

Twitter war von der Heartbleed-Sicherheitslücke im Internet, die diese Woche die Web-Sicherheitswelt erschütterte, nicht betroffen. Ein Kennwort, das die Verbraucher ändern müssen, um sich selbst zu schützen, muss jedoch sorgfältig überwacht werden.

Heartbleed ist ein Fehler in OpenSSL (Secure Sockets Layer), einem Tool zum Sichern von Webverbindungen, mit dem Angreifer Daten aus dem 64 KB Speicher des Servers gleichzeitig stehlen können. Es könnte automatisch mehrere Male laufen, ohne irgendwelche Beweise zu hinterlassen, möglicherweise Benutzernamen und Passwörter sowie Verschlüsselungsschlüssel und Zertifikate für die Entschlüsselung privater Daten zu sammeln, sagen Forscher.

Twitter erklärte sich am Dienstag Nachmittag klar und postete eine kurze Erklärung auf seiner Statusseite.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

"Am 07.04.2014 wurden wir auf eine kritische Lücke in OpenSSL (CVE-2014-0160) aufmerksam gemacht Sicherheitsbibliothek, die im Internet und bei Twitter weit verbreitet ist ", schrieb das Unternehmen. "Wir konnten feststellen, dass die Server von twitter.com und api.twitter.com von dieser Sicherheitsanfälligkeit nicht betroffen waren. Wir überwachen weiterhin die Situation. "

Einige andere große Web-Namen, darunter Yahoo, Facebook, Google und Microsoft, sagten, dass sie entweder das Problem untersuchen oder es auf ihren Websites behoben haben. Wenn sie verletzlich waren, waren sie nicht allein: Die Internet-Sicherheitsfirma Netcraft schätzt, dass etwa 500.000 Websites den Bug hatten. Am späten Mittwoch schien es keine Berichte über Exploits gegen den Fehler zu geben.

Twitter könnte Heartbleed einfach ausweichen, indem er eine andere Version der SSL-Verschlüsselung als Kern der Sicherheitskrise verwendet. Aber das hilft nicht den schätzungsweise 500.000 anderen Websites, die anfällig sind.

Eine weitere gute Nachricht: Keine Version von Android war betroffen, mit der Ausnahme von Android 4.1.1, laut Google.

Wenn Twitter Server sind von Heartbleed nicht betroffen, die Abonnenten brauchen nicht die zusätzlichen paar Minuten, um ihre Twitter-Passwörter zu ändern, da sie ihre anderen Konten im Zuge der Offenlegung aktualisieren, sagte Lamar Bailey, Direktor der Sicherheitsforschung für Sicherheit Anbieter Tripwire. Twitter hätte dem Bullet möglicherweise ausgewichen, indem es eine andere Version von SSL ausgeführt oder die Sicherheitslücke in OpenSSL ausgeschaltet hat.

Heartbleed ist ein scheinbar zufälliger Bug, der Ende 2011 durch ein OpenSSL-Update eingeführt wurde Eine Tür für Angreifer, die ein "Heartbeat" -Feature missbraucht, das üblicherweise verwendet wird, um zu erkennen, ob die Sitzung eines Benutzers auf einer Site noch aktiv ist.

Das Schwierige an Heartbleed ist, dass es von dieser Veröffentlichung bis zu einem letzte Aktualisierung, die das Problem behoben hat. Hacker hätten das Loch jederzeit ausplündern können und Daten gestohlen, ohne eine Spur zu hinterlassen. Daher sollten Benutzer nach Web-Unternehmen suchen, die zwei Schritte unternehmen, um ihre Websites zu sichern, so Bailey.

Der erste besteht darin, den SSL-Mechanismus der Site zu ersetzen, entweder durch Anwenden einer neuen Version oder durch Neukompilieren der aktuellen Version mit deaktivierter anfälliger Funktion . Die zweite besteht darin, die privaten Schlüssel und Zertifikate zu ersetzen, die zum Entschlüsseln der Daten auf ihren Servern verwendet werden, da, wenn sie kompromittiert wurden, sogar neue Kennwörter den Benutzer nicht schützen, sagte er.

Auch das Patchen von SSL ist keine einfache Aufgabe, Sagte Bailey. Auf den Websites werden möglicherweise mehrere SSL-Versionen ausgeführt, sodass Administratoren darauf achten müssen, dass sie gründlich sind und weiterhin auf die Sicherheitsanfälligkeit testen. Vor allem kleine Unternehmen könnten ihre Seiten für einige Zeit nicht reparieren lassen, sagte Bailey.

Yahoo, Google arbeitet immer noch an Fixes

Yahoo bestätigte am Mittwoch, dass seine Plattform für Heartbleed anfällig war und sagte, dass es mit der Arbeit an einem beheben, sobald es über das Problem wusste.

"Unser Team hat erfolgreich die entsprechenden Korrekturen in den wichtigsten Yahoo-Eigenschaften vorgenommen (Yahoo Homepage, Yahoo Suche, Yahoo Mail, Yahoo Finanzen, Yahoo Sport, Yahoo Essen, Yahoo Tech, Flickr und Tumblr) und wir arbeiten daran, den Fix über die der Rest unserer Websites jetzt ", sagte ein Unternehmensvertreter per E-Mail.

Auch Google hat an dem Problem gearbeitet. "Wir haben diese Sicherheitsanfälligkeit überprüft und Patches für wichtige Google-Dienste wie Google Search, Google Mail, YouTube, Wallet, Play, Apps und App Engine implementiert. Google Chrome und Chrome OS sind nicht betroffen. Wir arbeiten noch daran, einige andere Google-Dienste zu patchen ", sagte das Unternehmen in einem Blogbeitrag. Unter diesen waren Cloud SQL und Google Search Appliance. Für Kunden von Google Compute Engine legte das Unternehmen Schritte fest, die die Benutzer selbst treffen müssen.

Facebook sagte, es habe seine OpenSSL-Implementierung geschützt, bevor das Problem öffentlich bekannt wurde und weiterhin beobachtet wurde. "Wir haben keine Anzeichen für verdächtige Kontoaktivitäten festgestellt, die auf eine bestimmte Aktion hindeuten würden. Wir empfehlen jedoch, diese Gelegenheit zu nutzen, um bewährten Verfahren zu folgen und ein eindeutiges Passwort für Ihren Facebook-Account einzurichten, das Sie nicht auf anderen Websites verwenden , "Facebook sagte in einer Erklärung.

" Wir verfolgen Berichte über eine OpenSSL-Bibliothek Problem. Wenn wir feststellen, dass sich unsere Geräte und Dienste auswirken, ergreifen wir die erforderlichen Maßnahmen, um unsere Kunden zu schützen ", sagte ein Microsoft-Vertreter.